오늘 메일을 확인하였을 때 처음으로 나에게 악성코드가 첨부된 스팸메일이 와 있었다.

[그림 1 - 스팸메일함으로 필터된 스팸메일]

exe 파일이 아닌 것을 알고 조금 실망하였지만, exe 파일을 받도록 유도하는 파일 일 것 같아 받아서 소스를 열어보았다. 

당연히 소스를 분석한 환경은 VM에 세팅해둔 말웨어 분석환경!!!!

소스는 다음 그림처럼 되어 있었다.

 [그림 2 - 첨부된 파일의 소스]

소스는 뭔가 이상한 문자들을 써서 복잡해 보이지만, 결국 변수에 어떠한 아스키 값을 넣어 하나의 문장으로 만들어주고

맨 마지막에 있는 document.location을 사용해 어디론가 이동하게 해준다. 

어디로 이동해주는지 알기 위해서 document.location을 document.write로 바꿔주면 아래와 같이 나온다.

 [그림 3 - 소스의 결과값 확인]

앞에 이상한 문자들은 어떠한 값들이 저장되나 보려고 일부러 출력한 것이고 뒤에 http://로 시작하는 주소가 이 페이지가

접속시켜주는 주소이다. 

이 페이지에 인덱스를 wget으로 긁어오면 아래와 같은 소스가 나온다.

 [그림 4 - index.html 소스]

index.html 소스인데 보면 별것 없고 같은 디렉토리에 있는 Main.asp 파일로 접속시켜 주는 것을 볼 수 있다.

Main.asp 파일을 받아와 보면 아래와 같은 페이지의 모습이 보인다.

[그림 5 - Main.asp 페이지 모습]

이 페이지에 타이틀 이름은 '카발 온라인'이고, 출금현황등을 보여주고 있었다.

하지만 소스를 보다보면 아래와 같이 이상한 URL을 볼 수 있다.
 

[그림 6 - exe파일을 받는 주소]

역시 예상대로 exe파일을 받도록 유도하고 있었다.

페이지에서는 가운데 부분을 클릭하면 받도록 되어있다.


------------------------------------------------------------------------------------------
지금보니 그냥 사행성 게임 광고 같기도 하고.... 낚인거 같다 ㅡㅡ;; ㅋㅋ

+ Recent posts